瑞数信息：快消行业面临严峻的API攻击，API安全治理势在必行

数字化时代，传统快消企业纷纷向线上转型升级，大量业务基于app、小程序、h5 、微信等渠道接入，直接面向消费者展开花样百出的线上营销活动，如：扫码领红包、集卡送好礼、分享得立减金……

然而，在快消行业一片欣欣向荣的背后，黑产分子早已伺机出动，沉浸在各大品牌的羊毛雨中乐此不疲。数据显示，如果企业在营销时不做风险控制，黑产比例一般在20%以上，甚至有一些高达50%，各个品牌被黑产薅掉的营销费用非常高，每日可达几万、几十万甚至上百万不等。

快消企业之所以容易被黑产盯上，一方面是这类企业拉新促销活动丰富，黑产能够快速从中获得高额利润；另一方面也在于快消企业急剧增加的线上业务，使得api接口的调用数量呈爆发式增长，风险敞口随之打开，api迅速成为黑产攻击的新目标。

快消企业面临api安全三大挑战

数字化趋势下，快消企业几乎把大部分业务包括核心业务都搬到了线上，并越来越依赖api整合大量系统，实现业务彼此之间的交互。据调查显示，目前每个企业平均管理超过350个api，其中69%的企业会将这些api开放给公众和他们的合作伙伴，在零售业，api流量占比更是超过83%。

作为线上业务的接口，api承担着连接服务和传输数据的重任，涉及大量用户敏感信息和业务数据。正因如此，通过api获取数据的攻击越来越受到黑客的欢迎：一方面，针对api的攻击更加匿名，另一方面企业对于api的保护程度通常不如网站等应用程序，随着自动化工具的兴起，黑产针对api的攻击门槛和攻击资源要求更低。

事实上，api攻击对快消企业的业务安全构成了严重影响。

在业务安全层面，快消企业往往会遭遇盗号、欺诈、刷单、薅羊毛、占库存等恶意行为。由于“薅羊毛”群体巨大，并大规模依靠自动化攻击技术，会给快消企业造成巨大经济损失，因此成为企业最为关注的业务安全问题之一。

在数据安全层面，api攻击已是数据泄露头号风险。通过api批量爬取企业业务数据和用户信息，用于同业竞争、数据倒卖、业务欺诈等非法行为，并导致敏感数据泄露，不仅会给快消企业及其用户带来不可挽回的损失，更是触犯了我国《网络安全法》《数据安全法》等相关法律法规。

瑞数信息技术总监吴剑刚表示，目前针对快消行业的api攻击形势非常严峻，但快消企业在api安全防护上却面临着真实的痛点：对于大型企业而言，传统安全产品已无力应对新型的api攻击；而中小型企业因it投入有限，安全防护技术就更加薄弱。

在吴剑刚看来，快消企业在api安全方面普遍面临三大挑战：

一是api资产不清，数据泄露风险大。

由于api接口的大量调用，很多企业并不清楚自己有多少个api，也不知道api处于什么状态。大量的api资产无法自动探测，这就使得企业api资产不清、责任不清，从而成为黑客攻击的主要入口。

据gartner预测，api滥用将是2022年最常见的攻击类型。企业必须清楚地知道自己拥有哪些api资产，才能更好地保护数据不被泄露。

二是传统安全产品存在局限性，无法有效应对api攻击。

在大型快消企业中，普遍部署了传统waf、api网关、风控等多种安全产品，但这些产品并不是为api安全而生，例如：

传统waf技术上主要基于规则和签名来识别已知攻击，但每个api都有独特的业务逻辑和漏洞，因此传统waf缺乏对api上下文所需的架构理解，也无法理解独特的逻辑，很多时候无法识别针对api独有的漏洞攻击。

传统api安全网关更多是在api请求的身份认证、权限控管、请求内容校验与过滤以及api流量限速等方面进行防护，但是这些防护功能都与应用开发高度相关，应用程序修改后往往也需要修改api安全网关的配置，造成部署与维护成本都极为高昂。

同时，传统api网关保证身份认证合法，但不代表能访问行为合法。尤其在to c业务中，面对黑客以合法身份登录、模拟正常操作、多源低频的api访问请求，传统api网关无法识别这类看似“正常”的用户行为。因此，许多企业开始关注api安全防护。

风控系统多为旁路预警，对攻击束手无策。同时，风控系统多为业务部门所用，当安全部门在分析可疑事件时，由于风控平台和安全平台缺少相应的连接，往往出现信息不对称、口径不一致的情况，导致无法识别出异常行为。当业务策略发生变化时，风控平台策略也需要相应实现代码级更新，在业务快速发展的情况下，风控平台的运营负担过重。

三是api面临多种安全攻击，难以有效识别和实时防护。

针对api的常见网络攻击包括：重放攻击、ddos 攻击、注入攻击、会话 cookie 篡改、中间人攻击、内容篡改、参数篡改等，这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化，企业很难有效识别针对api的未知威胁，也无法实时细粒度阻断、熔断各类风险。

快消企业亟需api安全创新方案

在严峻的网络安全形势下，每一个api都有可能成为攻击入口，我国《数据安全法》也强调了需要对数据在传输、提供、公开时提供保护，构建api安全防护体系势在必行。

为了解决api面临的各种安全风险与挑战，弥补传统安全产品的不足，瑞数信息基于“admp安全模型”，创新地推出了api安全管控平台（api botdefender），从api的资产管理、敏感数据管控、访问行为管控、api风险识别与管控等维度，体系化保障api安全。

在api资产管理方面，瑞数api botdefender可以持续发现api接口，及时发现未知的api和僵尸api。同时，自动对api接口实现分类、分组、并指派责任人，实现数据分权管理；并提取api接口的元数据，为api接口提供可视化展示。

在api攻击防护方面，瑞数api botdefender可以防止绕过业务逻辑的访问行为，拒绝非法的api请求参数调用，降低安全配置错误，缩小攻击面。同时，支持api安全攻击检测和防护，并引入语义分析技术，进一步提高检测准确性。

在api敏感数据管控方面，瑞数api botdefender可以对敏感信息进行自动分级，实时洞察api接口中双向传输的敏感数据、明文密码和弱密码，并及时进行脱敏处理，规避数据泄漏风险，满足合规审计需求。

在api访问行为管控方面，瑞数api botdefender基于多维度实时监控api接口的访问行为，能够及时发现偏离基线的异常访问行为。同时，内置的api业务威胁模型，可以透视api常见的业务威胁，高效准确进行人机识别。

在api访问控制方面，瑞数api botdefender内置灵活的api访问控制策略，能够对api接口实现精细化的访问控制，支持多维度限频、拦截、延时等，实现企业实时安全响应和业务发展的平衡。

一直以来，快消行业都是bots自动化攻击的重灾区，由爬虫、撞库带来的恶意竞争、数据泄露、业务欺诈等事件频发。瑞数信息作为从bots自动化攻击防护起家的专业厂商，为众多快消企业提供了领先的自动化攻击防护产品，至今已保护了上万亿客户资产和5亿多账户，阻挡了99%的自动化攻击。

随着bots自动化攻击开始瞄准api，瑞数信息也率先将所有线上业务接入渠道纳入防护，包括web、h5、app、api、微信、小程序等，通过用户账号等唯一标识和全访问记录，将各业务接入渠道的数据进行融合，实现应用安全全功能的超融合防护。企业既可以采用瑞数api botdefender对api进行单独防护，也可以在瑞数下一代waf基础上扩展api防护功能，实现全渠道的安全防护。

知名快消企业api安全治理之道

目前，瑞数api botdefender已成功应用在多个快消企业中，其中不乏行业头部企业。基于此，瑞数信息技术总监吴剑刚介绍了两个典型的快消企业api安全治理实践。

案例一：某知名零售连锁企业

某知名零售连锁企业，拥有过亿的全球用户，其线上应用日活已超3000万。基于行业领先的it建设，该企业采用了主流的动静分离架构，核心业务都在api接口上，为了保证业务安全，很早就部署了传统api网关、waf、风控等安全产品。

虽然该企业已有api网关，但更多的是在鉴权层面起到作用，缺少api安全层面的发现和管控。而传统waf基于规则库，对于该企业来说是个黑盒子，只能看到拦截效果，无法透视业务威胁，也无法从业务角度进行安全分析。风控产品则缺乏和安全平台的联动，无法帮助该企业识别恶意行为。

在采用瑞数api botdefender后，该企业很快发现了一批未被清点、临时接口未关闭的api资产，更发现了大量异常行为和背后的异常账号设备，实施了批量封堵处理。

根据瑞数api botdefender的溯源显示，某用户通过手机号在app上点单后，凭下单凭证去门店取单，取货手机号就是下单手机号。然而，该手机号在24小时内已经下单超过50次，这显然不符合正常用户使用逻辑。同时，瑞数api botdefender发现涉及这种异常行为的设备高达230个，有80个设备在1小时内使用5个以上的账号进行下单，涉及以上行为的总共1540个手机号，这些传统安全产品无法识别的异常行为，都在瑞数api botdefender平台上清晰地展示出来，并能够被实时拦截。

除了api资产管理和api异常行为管控之外，瑞数api botdefender还为该企业提供了全生命周期的api安全能力，不仅覆盖owasp api security top10的攻击防御，且通过api业务威胁模型，可以快速应对api的业务安全攻击，如爬虫、撞库等。

案例二：保健美容零售连锁企业

某知名健康美容零售连锁企业在全球拥有数千万活跃会员，庞大的业务体量，使得该企业一直将信息安全作为其it建设中的重中之重。为了保护线上业务安全，该企业自起一直采用瑞数动态应用保护系统 botgate，对大量机器人攻击行为、薅羊毛、安全攻击等行为进行了有效防护。

随着该企业更多的业务交易从线下转移到线上，数字化营销程度不断深入，微信小程序成为其开展业务和营销活动的主要线上渠道之一，api接口数量随之快速增长，通过api接口发起的攻击也越来越多。攻击者试图通过api越权访问会员信息，批量获取用户隐私信息，这让该企业意识到应迅速加强api防护。

，该企业在原有的瑞数动态应用保护系统基础上，扩展了api botdefender模块，补充api防护能力，获得了立竿见影的效果：一是对api接口回传报文中的敏感信息进行脱敏处理，规避数据泄漏风险；二是对api异常访问行为进行管控，对异常设备和账号做实时处置；三是基于单个api接口访问次数进行限频，防止cc攻击造成业务瘫痪；四是针对地域营销活动中黑产使用虚假定位软件的问题，进行有效的人机识别和虚假定位识别，阻挡薅羊毛行为。

结语

在数字化浪潮中，快消企业必须面对愈加复杂的网络安全环境，与黑产进行持续升级的对抗。对于早已全渠道化的快消企业而言，api是亟需重视的防护对象。瑞数api botdefender作为api防护的创新方案，基于瑞数独有的“动态安全+ai”核心技术，能够为快消企业建立完整的api资产感知、发现、监测、管控能力，有效保护企业的业务安全和数据安全。